Microsoft lên lịch phát hành 16 bản tin, 5 'sống còn' trong Bản vá ngày thứ Ba lớn

Microsoft schedules massive Patch Tuesday release with 16 bulletins, five 'critical'

By Ashley Carman, Editorial Assistant, November 07, 2014

Theo: http://www.scmagazine.com/microsoft-announces-november-patch-tuesday-fixes/article/382129/

Bài được đưa lên Internet ngày: 07/11/2014

Lời người dịch: Dự kiến Bản vá ngày thứ Ba tháng 11/2014 của Microsoft, phát hành vào ngày 11/11/2014 sẽ có 16 bản tin, bao gồm 5 sửa lỗi sống còn, 9 sửa lỗi “quan trọng” và 2 “vừa phải”. “Các bản tin tháng này ảnh hưởng tới Windows, Internet Explorer, Khung .NET của hãng, Microsoft Office, và các phần mềm máy chủ của hãng. Bản vá ngày thứ Ba tháng 11 là lớn nhất kể từ tháng 09/2013, khi Microsoft đã phát hành 14 bản tin”. “Bản vá ngày thứ Ba lần này sẽ có một “ảnh hưởng lớn” đối với doanh nghiệp, và cũng nói các bản sửa lỗi liên quan tới quyết định gần đây của Microsoft dừng bán Windows 7 và 9 cho và qua các nhà bán lẻ”. Không có bản vá nào dành cho Windows XP!. Lưu ý: Việt Nam, cho tới hết tháng 02/2014, còn hơn 5.5 triệu máy tính, chiếm 45.65% máy tính cả nước còn chạy Windows XP hết hỗ trợ kỹ thuật từ 08/04/2014. Hơn nữa, các dịch vụ công của Việt Nam chỉ chạy được trên trình duyệt web Microsoft Internet Explorer và Windows. Nguy hiểm: Microsoft làm việc với FBI để phá an ninh Internet và Tòa án Liên bang Mỹ ra lệnh cho Microsoft phải trao các thư điện tử được lưu trữ trên các máy chủ ở nước ngoài cho các nhà chức trách Mỹ. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.

Microsoft sẽ phát hành 16 bản tin, bao gồm 5 sửa lỗi sống còn, trong bản cập nhật của Bản vá ngày thứ Ba tháng 11/2014 vào tuần sau.

Bổ sung thêm vào 5 bản vá sống còn của mình, có 9 sửa lỗi là “quan trọng” và 2 “vừa phải”, theo bài viết xem trước về các bản cập nhật của Microsoft. Hầu hết các sửa lỗi sống còn giải quyết các chỗ bị tổn thương thực thi lỗi ở xa - RCE (Remote Code Execution) trong Windows, dù một lỗi đề cập tới một vấn đề leo thang quyền ưu tiên mà có thể để một ứng dụng có nhiều quyền ưu tiên hơn đáng có, vì thế cho phép nó thực thi các hành động không được phép.

Các bản tin tháng này ảnh hưởng tới Windows, Internet Explorer, Khung .NET của hãng, Microsoft Office, và các phần mềm máy chủ của hãng. Bản vá ngày thứ Ba tháng 11 là lớn nhất kể từ tháng 09/2013, khi Microsoft đã phát hành 14 bản tin.

Russ Ernst, giám đốc, quản lý sản phẩm, Lumension, đã lưu ý trong các bình luận được chuẩn bị gửi cho SCMagazine.com rằng Bản vá ngày thứ Ba lần này sẽ có một “ảnh hưởng lớn” đối với doanh nghiệp, và cũng nói các bản sửa lỗi liên quan tới quyết định gần đây của Microsoft dừng bán Windows 7 và 9 cho và qua các nhà bán lẻ.

“Điều này rõ ràng là một bước để mọi người rời bỏ mã cũ, và từ một viễn cảnh quản lý chỗ bị tổn thương, chúng tôi ủng hộ nỗ lực này”, Ernst nói. “Cũng trong danh sách cập nhật của họ, tôi chắc chắn, kho cài đặt lớn là Windows Server 2003 sẽ kết thúc vòng đời vào năm sau”.

Microsoft có vấn đề với Bản vá ngày thứ Ba tháng 10 của hãng sau khi một trong số các bản sửa lỗi vẫn để cho những người sử dụng bị tổn thương. Lỗi gốc ban đầu, CVE-2014-4114, đã cho phép những kẻ tấn công khai thác lỗi ngày số 0. Dù, một tuần sau khi phát hành một bản tin, hãng đã đưa ra một sửa lỗi tạm thời cho lỗi đó, sau khi chỉ định nó một mã nhận diện mới (ID), CVE-2014-6352.

Microsoft will release 16 bulletins, including five critical fixes, during its monthly Patch Tuesday update next week.

In addition to its five critical patches, nine are “important” fixes and two are “moderate," according to Microsoft's preview post on the updates. Most of the critical fixes address remote code execution (RCE) vulnerabilities in Windows, although one does tackle an elevation of privilege issue that could let an application have more privileges than intended, thus allowing it to perform unauthorized actions.

This month's bulletins affect Windows, Internet Explorer, the company's .NET Framework, Microsoft Office, and its server software. November's Patch Tuesday is the largest since September 2013, when Microsoft released 14 bulletins.

Russ Ernst, director, product management, Lumension, noted in prepared comments sent to SCMagazine.com that this Patch Tuesday will have a “big impact” on the enterprise, and also said the fixes correlate with Microsoft's recent decision to stop selling Windows 7 and 9 to and through retailers.

“This is clearly one step to get people off old code, and from a vulnerability management perspective anyway, we have to applaud the effort,” Ernst said. “Also on their list to update, I'm sure, is large install base on Windows Server 2003 as end of life is next year.”

Microsoft ran into issues with its October Patch Tuesday after one of its fixes still left users vulnerable. The original bug, CVE-2014-4114, allowed attackers to exploit a zero-day flaw. A week after releasing a bulletin, though, the company issued a temporary fix for the bug, after assigning it a new ID, CVE-2014-6352.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com